بخشی از مقاله
چکیده
امروزه با افزایش و توسعه برنامههای کاربردی تحت شبکه، به منظور باال بردن کیفیت سرویس دهی و شناسایی ناهنجاری ها در شبکه، شناسایی و طبقه بندی سریع و با دقت ترافیک شبکه نیاز مبرم مدیران شبکه میباشد. تاکنون روشهای متعددی جهت شناسایی ترافیک شبکه ارائه شده است. از جمله این روشها میتوان به شناسایی مبتنی بر شماره درگاه، شناسایی از طریق بررسی محتوی، و شناسایی برپایه ویژگیهای آماری اشاره نمود.
استفاده از شماره درگاههای پویا و عدم امکان دسترسی به محتوی هنگام استفاده از پروتکلهای رمزنگاری و همچنین نیاز به پردازش بسیار جهت بازگشایی محتوی، موجب عدم کارآمدی روشهای شناسایی برپایه شماره درگاه و بررسی محتوی شدهاست. در روشهای شناسایی ترافیک مبتنی بر ویژگیهای آماری، عملیات شناسایی ترافیک شبکه بدون نیاز به بررسی محتوی بسته و با هدف حفظ حریم خصوصی ارسال کننده بستهها انجام میشود.
این مقاله ویژگیهای آماری تاثیرگذار در شناسایی ترافیک شبکه و رفتار آنها را مورد تحلیل و بررسی قرار میدهد. برای ارزیابی ویژگی های ارائه شده، دادههای دو پایگاه داده UNIBS و پایگاه داده جمع آوری شده بر روی مسیریاب، مورد استفاده و تحلیل قرار گرفته است. جهت ارزیابی نتایج، میزان صحت تشخیص درست برنامه کاربردی توسط الگوریتمهای Decision Table, Bagging و RandomTree مورد بررسی قرار گرفته است. نتایج ارزیابی نشان میدهد که استفاده از ویژگیهای ارائه شده میزان دقت شناسایی برنامه کاربردی را به بیش از % 97/5 افزایش میدهد.
-1 مقدمه
امروزه، با افزایش و رشد برنامههای کاربردی، حجم ترافیک ارسایی بر روی بستر اینترنت و شبکههای مرتبط با آن روز به روز در حا افزایش می باشد در بر ورد با این حجم انبوه از ترافیک شبکه، مدیریت ترافیک شبکه اهمیت بسیار با یا دارد گا نسست در ن ه به اين هدف، شناسايي و طبقهبندی تراف ک شبکه است طبقهبندی ترافیک، تکنیک ابتدایا میباشد که توسط ارائه دهندگان سروی های اینترنتی، جهت مدیریت منابع شبکه و ضمانت امنیت شبکه مورد استهاده ررار میگیرد.
از طرفی دیگر، تقاضاي رو به رشد براي استهاده از پهناي باند ب شتر از يک سو و محدوديت ظرف ت ف زيکي طوط ارتباطي شبکه از سوي ديگر، سروي دهندگان اينترنت را بر آن ميدارد تا در پي يافتن راهکارهايي جهت بهبود ک ه ت بهره برداري کاربران از منابع شبکه باشند يکي از اين راهکارها، تسص ص پهناي باند مشسص به هر يک از برنامهها و سروي هاي موجود در شبکه و اویويتدهي به آنها در استهاده از ظرف ت طوط ارتباطي و منابع پردازشي تجه زات شبکه است.
در حقیقت جهت تحقق مدیریت شبکه و کنتر امنیت، مدیران شبکه بایستی هویت و وضعیت برنامههای کاربردی را توسط طبقهبندی ترافیک معلو نمایند همچن ن با توجه به افزايش بدافزارها و تال آنها براي پنهان سازي تراف ک ود به من ور گريز از س ستمهاي تشس ص نهوذ و دور زدن ديوارهاي آتش، دستهبندي تراف ک به عنوان يک گا اوی ه در تشس ص نهوذ و تبم ن امن ت شبکه در مقابه تهديدات سايبري داراي اهم ت است .
براین اساس، ميتوان طبقهبندي تراف ک را مقدمهاي ز براي بس اري از وظايم امن تي، مديريتي و کنتریي در شبکه دانست همزمان با پیشرفت و توسعه شبکههای رایانهای به صو اینترنت، عواملی همچون استهاده از سازوکارهایا مانند پروتکه TLS* ، به من ور تامین امنیت یه کاربرد، استهاده از شماره درگاههای پویا، با رفتن ترافیک شبکه ناشی از برنامههای کاربردی P2P و با رفتن نرا تباد اطالعات در شبکه موج ایشبرانگیزتر شدن مبحث طبقهبندي ترافیک شدهاست تاکنون رو های بسیاری برای شناسایا ترافیک شبکه ارایه شده است [2-7] .
-2 شناسایی ترافیک شبکه
-2-1 تبادل داده در شبکه
در هنگا ارسا دادهها، هر یه پیا های یه با تر را دریافت میکند، و پ از اجرای بر ی پرداز ها بر روی آن، مقداری داده به عنوان سرآیند به آن اضافه کرده و آن را به سوی یه پایینتر رهسپار میکند در نهایت در یه فیزیکی پیا نهایا به صورت امواجی به سوی گیرنده رهسپار میگردد شکه - ۱ - سا تار تشکیه بسته و نحوه ارسا آن در مد ههت یه شبکههای رایانهای را نشان میدهد در حایت کلی داده- های در ا تیار تحلیهگر ترافیک ن یر برنامه کاربردی X، به دو گروه ویژگیهای مرتبط با سرآیند - محتوی بسته در یههای مستلم - و داده-های مرتبط با ویژگیهای آماری - زمان تویید بسته، اندازه بسته - تقسیم میشوند.
-2-1-1 ویژگیهای
ویژگیهای مرتبط با محتوای بسته، میتواند شامه محتویات بسته - درصورت عد استهاده از پروتکه رمزنگاری - ، اندازه هر رسمت از بسته در یههای مستلم و ویژگیهای آماری هر بسش از بسته باشد در این دسته از دادهها بر ی مرتبط با برنامه کاربردی مورد ن ر است، و بر ی هیچ ارتباطی با برنامه کاربردی ندارد به عنوان مثا ، شناسه IP فرستنده جزء دادههایا است که هیچ ارتباطی با برنامه کاربردی اجرا شده در سمت فرستنده ندارد ایبته از دادههای حاصه از بازگشایا یههای مستلم یک بسته، تنها بسشی از آنها مهید بوده و به نوعی به برنامه کاربردی تویید کننده آن وابسته میباشد.
-2-2 مروری بر روشهای موجود
رو های موجود برای شناسایا ترافیک شبکه را میتوان در هار دسته کلی تقسیمبندی نمود [12] طبقهبندی بر مبنای پروتکه و شماره درگاه : این رو طبقهبندی از این ایده منتپ میشود که برنامههای کاربردی مستلم از پروتکهها و شماره درگاههای متهاوتی استهاده میکنند با توجه به اینکه امروزه استهاده از شماره درگاههای پویا رواج بسیار یافته است، این رو طبقهبندی ندان مهید فایده نسواهد بود [8] طبقهبندی مبتنی بر بررسی محتوی: در این شیوه محتوای بستههای شبکه مورد بازرسی ررار میگیرد.